撰文：康水跃，Fox Tech CEO；孟铉济澳门巴黎人体育，Fox Tech 首席科学家

密码学当中的零学问解说时期在 web3 宇宙有着平庸的应用，包括进行阴私打算、zkRollup 等等。其中 Layer2 技俩 FOX 所使用的 FOAKS 即是一个零学问解说算法。在上述的一系列应用当中，关于零学问解说算法而言，有两方面属性极为紧迫，那即是算法的效果以及交互性。

算法效果的紧迫性了然于目，高效的算法不错昭彰的裁汰系统启动时期，从而裁汰客户端延伸，显耀的擢升用户体验和效果，这亦然 FOAKS 勉力于已毕线性解说时期的一个紧迫原因。

另一方面，从密码学的角度来讲，零学问解说系统的设想时常依赖解说者和考据者的多轮交互。举例在很多先容零学问解说的科普著述当中皆会使用的“零学问洞穴”的故事当中，解说的已毕就依赖于阿里巴巴（解说者）和记者（考据者）多轮的信息传递交互身手已毕。然而事实上，在很多应用场景当中，依赖交互会使得系统不再可用，或者极高的增多延伸。就像在 zkRollup 系统当中，咱们盼愿解说者（也即是 FOX 当中的 folder）能够在土产货，不依赖于和考据者交互的情况下就打算出正确的解说值。

从这个角度说，若何将交互式的零学问解说合同蜕变为非交互式，即是一个很成心旨的问题。在这篇著述当中，咱们将先容 FOX 使用经典的 Fiat-Shamir 启发式（heuristic）来生成 Brakedown 中的挑战从云尔毕非交互式合同的经过。

零学问解说算法跟着应用的铺开而变得极度火爆，近些年也降生了包括 FOAKS、Orion、zk-stark 等在内的多样算法。这些算法，以及密码学界早期的 sigma 合同等的中枢解说逻辑皆是解说者（Prover）先将某个值发送给考据者（Verifier），考据者通过土产货立时数产生一个挑战（Challenge），将这个立时产生的挑战值发给解说者，解说者需要真的有学问身手以约略率作念出通过考据者的反馈。举例在零学问洞穴当中，记者抛一个硬币，告诉阿里巴巴从左侧出来也曾从右侧出来，这里的“左和右”即是对阿里巴巴的挑战，他如真实的知说念咒语，就一定不错从要求的方针走出来，不然就有一半的概率失败。

这里咱们戒备到，Challenge 的生成是一个很要害的法子，它有两个要求，立时和不可被解说者揣摸。第少量，立时性保证了它的概率属性。第二点，如果解说者不错揣摸挑战值那就意味着合同的安全性被温和了，解说者莫得学问也不错通过考据，不错继续类比，阿里巴巴如果能揣摸记者要求他从哪边出来，他即使莫得咒语也不错提前插足那一边，抛弃进展出来一样不错通过合同。

是以咱们需要一种成见，能够让解说者我方土产货生成这么一个不可揣摸的立时数，同期还能够被考据者考据，这么就不错已毕非交互式的合同。

皇冠客服飞机：@seo3687

哈希函数的名字对咱们来说巧肃清不生分，无论是在比特币的共鸣合同 POW 当中担任挖矿的数学难题，也曾压缩数据量，构造讯息考据码等等，皆有哈希函数的身影。而在上述不同的合同当中，其实是期骗了哈希函数的多样不同性质。

具体来讲，安全的哈希函数的性质包括以下几点：

压缩性：详情的哈希函数不错将猖狂长度的讯息压缩成为固定长度。

灵验性：给定输入 x，打算输出 h（x）是容易的。

抗碰撞性：给定一个输入 x1，但愿找到另一个输入 x2，x1x2，h（x1）= h（x2），是发愤的。

戒备，如果哈希函数幽闲抗碰撞性，那么势必幽闲单向性，也即是说给定一个输出 y，要找出 x 幽闲 h（x）= y 是发愤的。在密码学当中，还不可构造出表面上完全幽闲单向性的函数，然而哈希函数在骨子应用当中不错基本视作单向函数。

这么一来，不错发现上述的几种应用折柳对应于哈希函数的几点不同的性质，同期咱们说，哈希函数还有一个很紧迫的作用是提供立时性，天然密码学表面当中要求的完好的立时数生成器咫尺也无法构造，然而哈希函数在骨子当中不异不错充任这个变装，这就为咱们后文先容的 Fiat-Shamir 启发式（Heuristic）的手段提供了基础。

事实上，Fiat-Shamir 启发式（Heuristic）即是利用哈希函数来对前边生成的剧本进行哈希运算，从而获得一个值，用这个值来充任挑战值。

因为将哈希函数 H 视作一个立时函数，挑战是均匀立时的被礼聘，零丁于解说者的公开信息和答应的。安全分析以为 Alice 不可揣摸 H 的输出，只可将其手脚一个 oracle。在这种情况下，Alice 在不战胜合同的情况下作念出正确反馈的概率 ( 卓越是当她不知说念必要的奥妙时 ) 与 H 的值域的大小成反比。

图 1: 利用 Fiat-Shamir Heuristic 已毕非交互式解说

在本节，咱们具体展示 Fiat-Shamir 启发式在 FOAKS 合同当中的应用，主如果用来产生 Brakedown 部分的挑战，从云尔毕非交互式的 FOAKS。

领先咱们看到，在 Brakedown 生成解说的法子当中，需要挑战的法子是“肖似性进修”以及 Merkle Tree 的解说部分（读者不错参考之前的著述《一文了解 FOAKS 当中的多项式答应合同 Brakedown》）。关于第少量原来的经过是解说者在这里需要考据者产生的一个立时向量，打算经过如下图所示：

图 2: 非交互解说 FOAKS 中的 Brakedown Checks

咫尺咱们使用哈希函数，让解说者我方产生这个立时向量。

令γ0=H(C1,R, r0,r1)，对应的，在考据者的考据打算当中，也需要增多这个打算出γ0的法子。凭据这么的构造，不错发现，在生成答应之前，解说者并不可提前揣摸挑战值，于是不可提前凭据挑战值来对应的“舞弊”，也即是对应的生成假的答应值，同期，凭据哈希函数输出的立时性，这个挑战值也幽闲立时性。

关于第二点，令 Î =H(C1,R, r0,r1,c1,y1,cγ0,yγ0)。

皇冠体育

咱们使用伪代码给出蜕变后非交互式的 Brakedown 多项式答应当中的解说和考据函数，这亦然 FOAKS 系统当中使用的函数。

双方这盘棋交换黑白子，辜梓豪执白。因为是中国规则，一般认为执白有小小的优势。

个人认为，以后吹捧詹姆斯可以从总得分啊，职业生涯巅峰期长啊，带三队得总冠军之类的来吹捧。jr史密斯这样的话简直是把詹姆斯架在火上烤，要不是知道你跟詹姆斯关系好，很多詹密甚至会认为你是在反串黑！虽然你说的总体来说也没有什么毛病！

很多的零学问解说算法在设想之初皆依赖解说者和考据者两边的交互，然而这种交互式解说合同不合适用在追求高效，网罗通信支拨大的应用场景下，比如链上数据阴私保护和 zkRollup 等等。通过 Fiat-Shamir 启发式（Heuristic），不错在不温和合同安全性的条目下让解说者土产货生耕作时数“挑战”，而且不错被解说者考据。凭据这种设施，FOAKS 不异已毕了非交互式的解说，并应用在系统当中。

1.Fiat, Amos; Shamir, Adi (1987). "How To Prove Yourself: Practical Solutions to Identification and Signature Problems". Advances in Cryptology — CRYPTO' 86. Lecture Notes in Computer Science. Springer Berlin Heidelberg. 263: 186–194. doi:10.1007/3-540-47721-7_12. ISBN 978-3-540-18047-0.

2.https://www.cnblogs.com/zhuowangy2k/p/12246575.html澳门巴黎人体育